首页 > Winodws专题 >

黑客利用Windows签名格式验证机制缺陷,绕过安全检测机制

  最近的网络安全研究披露了黑客采用的一种新的攻击技术,该技术可以借助恶意软件有效载荷的格式错误的数字签名来故意逃避检测。攻击者创建了格式错误的代码签名,这些签名被 Windows 视为有效,但无法被 OpenSSL 代码解码或检查。

  根据网络安全行业门户极牛网JIKENB.COM的梳理,这种新机制缺陷被臭名昭著的OpenSUpdater垃圾软件家族利用,该软件家族用于在受感染的系统上下载和安装其他可疑程序。该活动的大多数目标是位于美国的用户,他们倾向于下载破解版的游戏和其他灰色地带软件。

  不仅程序使用无效的子 X.509 证书进行签名,该证书的编辑方式使得SignatureAlgorithm字段的参数元素包含内容结束 (EOC) 标记而不是 NULL 标记。尽管此类编码作为使用 OpenSSL 检索签名信息的无效信息而被拒绝,但对 Windows 系统的检查将允许文件在没有任何安全警告的情况下运行。

  根据网络安全行业门户极牛网JIKENB.COM的梳理,这是首次观察到恶意程序使用这种技术来逃避检测,同时在 PE 文件上保留有效的数字签名,Windows 可执行文件上的代码签名保证了签名可执行文件的完整性,以及有关签名者身份的信息。能够在不影响签名完整性的情况下隐藏签名中的身份的攻击者可以避免更长时间的检测并扩展他们的代码签名证书的生命周期来感染更多系统。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请发送邮件至183718318@qq.com举报,一经查实,本站将立刻删除。